這篇關於使用TEE進行安全AI推理的Anthropic研究與Web3非常相關

TEEs 可以是機密推理的核心原語之一。

可驗證推理被認爲是web3-AI的經典用例之一。在這些敘述中，可信執行環境(TEEs)一直處於中心位置。最近，Anthropic發表了一篇研究論文，概述了一些在這一領域的想法，這些想法可能與推進web3-AI議程相關。

生成性人工智能服務——從對話代理到圖像合成——越來越多地被信任處理敏感輸入，並擁有有價值的專有模型。機密推理通過將硬件支持的可信執行環境與強大的加密工作流相結合，使在不受信任的基礎設施上安全執行人工智能工作負載成爲可能。本文介紹了使機密推理成爲可能的關鍵創新，並探討了一種旨在雲和邊緣環境中生產部署的模塊化架構。

機密推理中的核心創新

機密推理基於三個基礎性進展：

可信執行環境 (TEEs) 在現代處理器上

像 Intel SGX、AMD SEV-SNP 和 AWS Nitro 這樣的處理器創建密封的安全區，將代碼和數據與主操作系統和虛擬機監控程序隔離。每個安全區在啓動時對其內容進行測量並發布籤名證明。這份證明讓模型和數據所有者能夠驗證他們的工作負載在發布任何祕密之前運行在一個經過批準且未被篡改的二進制文件上。

安全加速器集成

高性能推理通常需要GPU或專用AI芯片。兩種集成模式保證了這些加速器：

• 本地TEE GPU：下一代加速器 (例如，NVIDIA H100)嵌入硬件隔離，直接在受保護的加速器內存中解密模型和輸入，並隨時重新加密輸出。證明確保加速器固件和驅動程序堆棧與預期狀態匹配。
• CPU-隔離橋接：當加速器缺乏本地 TEE 支持時，基於 CPU 的隔離區建立加密通道 (例如，受保護的共享內存緩衝區)與 GPU。隔離區協調數據移動和推斷，最小化攻擊面。

認證的端到端加密工作流

保密推斷採用基於區塊鏈證明的兩階段密鑰交換：

• 模型配置：模型權重在模型擁有者的密鑰管理服務(KMS)下進行信封加密。在部署過程中，KMS驗證enclave的證明文檔，然後將數據加密密鑰(DEK)直接釋放到enclave中。
• 數據攝取：類似地，客戶在驗證其證明後，僅在圍欄的公鑰下加密輸入。圍欄解密輸入，進行推理，並爲客戶重新加密輸出，確保模型權重和用戶數據在圍欄外從不以明文形式出現。

參考架構概述

一個生產級別的保密推理系統通常由三個主要組件組成：

保密推斷服務

• 安全區域程序：一個加載到可信執行環境（TEE）中的最小運行時，執行解密、模型執行和加密。它避免在磁盤上存儲持久祕密，僅依賴主機獲取加密數據塊並傳遞證明。
• Enclave Proxy: 作爲宿主操作系統中的一個組件，該代理初始化並驗證enclave，從存儲中檢索加密的模型數據塊，並協調與KMS和客戶端的安全通信。嚴格的網路控制確保該代理僅在批準的端點之間進行中介。

模型配置管道

• 通過KMS進行信封加密：模型預先加密爲防篡改的二進制數據塊。只有在驗證通過KMS後，才能解開任何DEK。對於超敏感模型，密鑰處理可以完全在安全區內進行，以避免外部暴露。
• 可復現的構建與審計：使用確定性構建系統(例如，Bazel)和開源隔離區，利益相關者可以獨立驗證已部署的二進制文件與審計代碼是否匹配，從而降低供應鏈風險。

開發者與構建環境

• 可確定的、可審計的構建管道：容器鏡像和二進制文件以可驗證的哈希生成。依賴項已被最小化和審查，以減少TEE的攻擊面。
• 二進制驗證工具：構建後分析 (例如，對比編譯後的安全區域與原始碼)，確保運行時與審計過的代碼庫完全一致。

組件工作流程與交互

證明與密鑰交換

1. 該保 enclave 生成一個臨時密鑰對，並產生一個包含加密測量的籤名證明。
2. 模型擁有者的 KMS 驗證證明並將 DEK 解包到安全區域。
3. 客戶端獲取區塊的證明，驗證它，並在區塊的公鑰下加密推理輸入。

推理數據路徑

• 模型加載：加密的二進制流進入安全區，在保護內存中僅被解密。
• 計算階段：推理在 CPU 或安全加速器上運行。在本地 GPU TEE 中，張量在處理之前保持加密。在橋接設置中，加密緩衝區和緊密核心親和性確保隔離。
• 輸出加密：推理結果在安全區域內部重新加密，並直接返回給客戶端或在嚴格訪問規則下通過代理傳遞。

實施最小權限
所有網路、存儲和加密權限都被嚴格限定：

• 存儲桶僅接受來自經過驗證的安全區域的請求。
• 網路ACL限制代理流量到KMS和enclave端點。
• 主機調試接口已禁用，以防止內部威脅。

威脅緩解和最佳實踐

• 供應鏈安全：可重現的構建和獨立的二進制驗證可以防止惡意工具鏈的破壞。
• 加密靈活性：定期更換密鑰並爲後量子算法進行規劃，以防範未來威脅。
• 加速器側信道防御：優先使用加速器上的本地可信執行環境（TEEs）；在通過 CPU 隔離橋接時，強制實施嚴格的內存加密和核心隔離。
• 操作硬化：移除不必要的主機服務，禁用調試，並採用零信任原則來控制操作員訪問。

結論

保密推斷系統通過集成硬件可信執行環境（TEEs）、安全加速器工作流和認證加密管道，能夠在不受信任的環境中安全地部署AI模型。這裏概述的模塊化架構在性能、安全性和可審計性之間取得平衡，爲希望大規模提供保護隱私的AI服務的組織提供了實用的藍圖。

這篇關於使用TEE進行安全AI推斷的Anthropic研究與Web3非常相關，最初發表於Medium上的Sentora，人們通過突出和回應這個故事繼續進行討論。